Рассылка подозрительных писем со смартфона под управлением Android

[Oleg]

У моего коллеги есть смартфон Samsung Galaxy S под управлением ОС Андроид. Дорогой имиджевый аппарат (в своё время - "топовый"), может служить WiFi-точкой доступа.

В выходные от моего коллеги на два моих ящика почты пришло письмо с одинаковым содержимым, причём кроме меня, в списке получателей каждого письма стояло ещё 19 адресатов (я сразу понял, что эти адресаты, как и я, были взяты из адресной книги почтового ящика).

Первое письмо :

Код Выделить Развернуть


Received: from [84.201.187.148] (port=49134 helo=forward3h.mail.yandex.net)
by mx90.mail.ru with esmtp (envelope-from <sender@yandex.ru>)
id 1Sq33V-0003jb-Aq; Sat, 14 Jul 2012 18:10:47 +0400
X-Mru-BL: 0:0:1077
X-Mru-PTR: forward3h.mail.yandex.net
X-Mru-NR: 6
X-Mru-OF: unknown (unknown)
X-Mru-RC: RU
Received: from web14h.yandex.ru (web14h.yandex.ru [84.201.186.43])
by forward3h.mail.yandex.net (Yandex) with ESMTP id 8220813624B8;
Sat, 14 Jul 2012 18:10:43 +0400 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail;
t=1342275044; bh=zvO0LJ0oSmVwskfzbWOh6c/9KMAa+JtkaonBBLhlODk=;
h=From:To:Subject:MIME-Version:Message-Id:Date:Content-Type;
b=ZkAPZdyWoK75Dl3jwwqlm5pbiCztTetNi1lwUvUkO9cbGC3u4gsC2Z7oS2afqMrI4
eeGhQlnBvEfCJ4er30X+ANTY8ma9Yc1IZXc983sIDhxPah4k2UjT4whfldCGWyhjOB
E21BOZwc6GTMmiRn+FFej79xEN+zrU5o03YO1ocE=
Received: from 127.0.0.1 (localhost.localdomain [127.0.0.1])
by web14h.yandex.ru (Yandex) with ESMTP id 8AAF52DC0001;
Sat, 14 Jul 2012 18:10:41 +0400 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail;
t=1342275042; bh=zvO0LJ0oSmVwskfzbWOh6c/9KMAa+JtkaonBBLhlODk=;
h=From:To:Subject:MIME-Version:Message-Id:Date:Content-Type;
b=mbKvV84xgw03//TRtvzn5/vzNUYLsSKJLcnrUcCdUfV1HngTuwyDDTBgqdkgJXLIC
0hWYI+NkPaqp2vbVn7FFFiRJCjqBv2pfDo7v5/t4kEY6BjBz4mmYP6mm4KYv7Gm/d3
PS5jKpmMy8xh/FdC0DNY2IXp2RVcdVcz9Po5vPsU=
Received: from 31-193-133-204.static.as29550.net (31-193-133-204.static.as29550.net [31.193.133.204]) by web14h.yandex.ru with HTTP;
Sat, 14 Jul 2012 18:10:39 +0400
From: =?koi8-r?==?= <sender@yandex.ru>
To: <users>
Subject: =?koi8-r?B?y8HLIMTVzcHF29gs08vPzNjLzyDaxMXT2CDExc7Fxz8=?=
MIME-Version: 1.0
Message-Id: <1062071342275039@web14h.yandex.ru>
Date: Sat, 14 Jul 2012 18:10:39 +0400
X-Mailer: Yamail [ http://yandex.ru ] 5.0
Content-Type: multipart/mixed;
boundary="----==--bound.106208.web14h.yandex.ru"
X-Spam: Not detected
X-Mras: Ok
Return-Path: sender@yandex.ru
X-Yandex-Forward: 70635084a6ee89cf1164ed70d58204d1


------==--bound.106208.web14h.yandex.ru
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset=koi8-r

<div>как думаешь,сколько здесь денег?</div>
------==--bound.106208.web14h.yandex.ru
Content-Disposition: attachment;
filename="IMG767.jpg                                                                                                      .exe"
Content-Transfer-Encoding: base64
Content-Type: application/x-dosexec;
name="IMG767.jpg                                                                                                      .exe"

Второе письмо :

Код Выделить Развернуть

Received: from forward4h.mail.yandex.net (84.201.186.22) by legacy.server.ru
(172.30.0.8) with Microsoft SMTP Server id 14.2.298.4; Sat, 14 Jul 2012
18:14:15 +0400
Received: from web14h.yandex.ru (web14h.yandex.ru [84.201.186.43]) by
forward4h.mail.yandex.net (Yandex) with ESMTP id 7AE9D1B224A6; Sat, 14 Jul
2012 18:14:09 +0400 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail;
t=1342275250; bh=xSrFRraJkKKOkIDlSKaZCt7wLmCqqC3OXqWynFK/Iz0=;
h=From:To:Subject:MIME-Version:Message-Id:Date:Content-Type;
b=Z3zQMzoNFf6pBMjZNvWDMPWkEhQV7CK4J752a9PlGGBwKg90jkMXKR82UIbG05Q6p
ogN4fhYyR7ie1CotAAfNyafgm81KPURtvjV2oFA2C3BqnkivJYLpjTsW/joY7UtB/O
GeMAmONzPLodPgiIBioHTbKO8AU03o/z1TdEoF/A=
Received: from 127.0.0.1 (localhost.localdomain [127.0.0.1]) by
web14h.yandex.ru (Yandex) with ESMTP id 795EB2DC0001; Sat, 14 Jul 2012
18:14:07 +0400 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail;
t=1342275248; bh=xSrFRraJkKKOkIDlSKaZCt7wLmCqqC3OXqWynFK/Iz0=;
h=From:To:Subject:MIME-Version:Message-Id:Date:Content-Type;
b=ElBnB1n4Hf3q8TTdxFuYMzPm3UCWrz4Ypt8BKwWwzguOChrDzTJ1VbwUmCiBBGE4u
Kufud0OlzZNWsBmEk1DQeUxHlz01HWO0Urmy9x9EvnXlG1igP9G8TE5XbTHo8fvkqm
ccXUds/Y97D6pLeV6aER0Bi7kxId8/IenRcfdc2Q=
Received: from 31-193-133-204.static.as29550.net
(31-193-133-204.static.as29550.net [31.193.133.204]) by web14h.yandex.ru with
HTTP; Sat, 14 Jul 2012 18:14:05 +0400
From: =?koi8-r?==?= <sender@yandex.ru>
To: <users>
MIME-Version: 1.0
Message-ID: <1062821342275245@web14h.yandex.ru>
Date: Sat, 14 Jul 2012 18:14:05 +0400
X-Mailer: Yamail [ http://yandex.ru ] 5.0
Return-Path: sender@yandex.ru
X-MS-Exchange-Organization-AuthSource: vm-rs-cas1.server.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: yandex.ru
X-MS-Exchange-Organization-SenderIdResult: Pass
Received-SPF: Pass (vm-rs-cas1.server.local: domain of sender@yandex.ru
designates 84.201.186.22 as permitted sender)
receiver=vm-rs-cas1.server.local; client-ip=84.201.186.22;
helo=forward4h.mail.yandex.net;
X-MS-Exchange-Organization-SCL: -1
X-MS-Exchange-Organization-Antispam-Report: v=1.1
cv=mClVVPvyPC0x+dIkpzg+VydfFLuGTlbTWSk52VZbxtk= c=1 sm=1 a=nks3lXV2slQA:10
a=jPJDawAOAc8A:10 a=x09f5kkz13sA:10 a=fqCLAtjozNXMHzrB+T/PbQ==:17
a=GbDUYx381mL5JivRmpUA:9 a=pvA44qeTxYYA:10 a=21SlD4DZW14qUtUUkOQA:9
a=AX6u52eIfXoA:10 a=mpd-woop7mMA:10 a=Sf_gFPzhefAA:10
a=qI3eFMThNy4_gYS9lrQA:14
a=fqCLAtjozNXMHzrB+T/PbQ==:117;OrigIP:84.201.186.22;SCL:-1
X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;0 0 0
X-Priority: 3 (Normal)
Content-Type: multipart/mixed;
boundary="----------76551D12D306AE8"

------------76551D12D306AE8
Content-Type: multipart/alternative;
boundary="----------CE1411E30D3A10"


------------CE1411E30D3A10
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: Base64

y8HLIMTVzcHF29gs08vPzNjLzyDaxMXT2CDExc7Fxz8NCg==

------------CE1411E30D3A10
Content-Type: text/html; charset=koi8-r
Content-Transfer-Encoding: Base64

PG1ldGEgaHR0cC1lcXVpdj0iQ29udGVudC1UeXBlIiBjb250ZW50PSJ0ZXh0L2h0bWw7IGNo
YXJzZXQ9a29pOC1yIj48ZGl2PsvByyDE1c3BxdvYLNPLz8zYy88g2sTF09ggxMXOxcc/PC9k
aXY+

------------CE1411E30D3A10--

------------76551D12D306AE8
Content-Type: application/x-dosexec;
name="IMG767.jpg                                                                                                      .exe"
Content-Disposition: attachment;
filename="IMG767.jpg                                                                                                      .exe"
Content-Transfer-Encoding: Base64
Content-ID: CAC2EAC694276C40B720BBE62EAD8268@server.ru


Тема письма : "как думаешь,сколько здесь денег?"
Отправитель : мой коллега (как он обозначен у себя в Яндекс-почте)

Тело письма : одна строка "как думаешь,сколько здесь денег?"

В письме есть вложение с именем

"IMG767.jpg                                                                                                      .exe"

то есть, исполняемый файл, маскирующий себя под картинку.

Получив эти письма, я сразу понял, что дело нечисто. Обычно мой коллега мне на почту не пишет, а звонит, а пишу ему обычно я!

Я проверил этот файл на вирусы антивирусами MSE и KAV со свежими базами : никаких вирусов в присланном файле не было обнаружено!

Я рискнул запустить этот файл и в стандартном просмотрщике картинок увидел картинку : комната, на полу лежат стопки денег (к слову, эту картинку я где-то видел и до этого инцидента). После закрытия просмотрщика с картинкой, файл на диске, откуда я его запускал, обнаружен не был! То есть - файл удаляет себя после первого запуска! Это явно нестандартное поведение для исполняемого файла : нормальные исполняемые файлы себя с диска никогда не удаляют. К примеру, если бы я запустил этот исполняемый файл из The Bat!, я бы навсегда утратил этот файл, так как вложения в почтовой программе The Bat! опционально хранятся в каталоге отдельно от писем.

Я сразу предположил, что это какой-нибудь вирус, внедрившийся в его систему, управляет его телефоном и рассылает "подмётные" письма.  Я переслал это письмо коллеге и получил его ответ "это вирус". Но впоследствии коллега заявил, что ничего перед рассылкой письма с телефоном не делал : не устанавливал новые программы, не кликал на баннеры, не давал играться детям. Коллега рассказал о том, что в какой-то момент ему стали приходить сообщения о недоставке писем (очевидно, в момент активизации вируса), но после перезагрузки телефона эти сообщения перестали приходить (впрочем, как сказал мне коллега, вирус отправил всего 4 письма, и все они лежат в папке "Исходящие" Яндекс-почты).

Файл выложил сюда : http://ocenka.name/misc/exe/virus_IMG767.jpg.rar , пароль на архив : virus